DirectoryService セクション - AWS ParallelCluster
DirectoryService のプロパティ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DirectoryService セクション

注記

のサポートが AWS ParallelCluster バージョン 3.1.1 に追加DirectoryServiceされました。

(オプション) 複数のユーザーアクセスをサポートするクラスターのディレクトリサービス設定。

AWS ParallelCluster は、System Security Services Daemon () でサポートされている Lightweight Directory Access Protocol () を介した Active Directory (ADLDAP) を持つクラスターへの複数のユーザーアクセスをサポートするアクセス許可を管理します。 SSSD詳細については、「AWS Directory Service 管理ガイド」の「AWS Directory Serviceとは」を参照してください。

機密情報が暗号化されたチャネル経由で送信される可能性がある場合は、TLS/SSL (略LDAPSして) LDAPを超える を使用することをお勧めします。

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DirectoryService のプロパティ

注記

インターネットアクセスのない単一のサブネット AWS ParallelCluster で を使用する予定がある場合は、その他の要件AWS ParallelCluster インターネットアクセスのない単一のサブネット内については、「」を参照してください。

DomainName (必須)String)

ID 情報に使用するアクティブディレクトリ (AD) ドメイン。

DomainName は、完全修飾ドメイン名 (FQDN) LDAP 形式と識別名 (DN) 形式の両方を受け入れます。

  • FQDN 例: corp.example.com

  • LDAP DN の例: DC=corp,DC=example,DC=com

このプロパティは、ldap_search_base で呼び出される sssd-ldap パラメータに対応します。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DomainAddr (必須)String)

URI または URIsは、LDAPサーバーとして使用される AD ドメインコントローラーを指します。は、 と呼ばれる SSSD-LDAP パラメータURIに対応しますldap_uri。値は、カンマで区切られた の文字列にすることができますURIs。を使用するにはLDAP、各 の先頭ldap://に を追加する必要がありますURI。

値の例:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

証明書の検証LDAPSで を使用する場合、 はホスト名URIsである必要があります。

証明書の検証または LDAPSなしで を使用する場合LDAP、 はホスト名または IP アドレスURIsになります。

TLS/SSL (LDAPS) LDAPを超える を使用すると、暗号化されていないチャネルを介したパスワードやその他の機密情報の送信を回避できます。でプロトコル AWS ParallelCluster が見つからない場合、 URIまたは ホスト名の先頭ldaps://に追加されます。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

PasswordSecretArn (必須)String)

プレーンテキストパスワードを含む AWS Secrets Manager シークレットの Amazon DomainReadOnlyUser リソースネーム (ARN)。シークレットの内容は、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_default_authtok

注記

AWS Secrets Manager コンソールを使用してシークレットを作成する場合は、「その他のタイプのシークレット」を選択し、プレーンテキストを選択し、パスワードテキストのみをシークレットに含めます。

AWS Secrets Manager を使用してシークレットを作成する方法の詳細については、「シーAWS Secrets Manager クレットの作成」を参照してください。

LDAP クライアントは、ID 情報をリクエストDomainReadOnlyUserするときに、パスワードを使用して AD ドメインを として認証します。

ユーザーに DescribeSecret のアクセス許可がある場合、PasswordSecretArn が検証されます。指定されたシークレットが存在する場合、PasswordSecretArn は有効です。ユーザーIAMポリシーに が含まれていない場合DescribeSecretPasswordSecretArnは検証されず、警告メッセージが表示されます。詳細については、「AWS ParallelCluster pcluster 基本ユーザーポリシー」を参照してください。

シークレットの値が変更された場合、クラスターは自動的に更新されません。クラスターを新しいシークレット値に更新するには、pcluster update-compute-fleet コマンドを使用してコンピューティングフリートを停止し、ヘッドノード内から次のコマンドを実行します。

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DomainReadOnlyUser (必須)String)

クラスターユーザーのログインを認証するとき、AD ドメインに ID 情報をクエリするために使用される ID。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_default_bind_dn。この値には AD ID 情報を使用してください。

ノード上にある特定のLDAPクライアントに必要な形式で ID を指定します。

  • MicrosoftAD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapTlsCaCert (オプションString)

ドメインコントローラーの証明書を発行した証明書チェーンにある各認証機関の証明書を含む証明書バンドルへの絶対パス。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_tls_cacert

証明書バンドルは、Windows の DER Base64 PEM形式とも呼ばれる形式の個別の証明書の連結で構成されるファイルです。これは、LDAPサーバーとして機能する AD ドメインコントローラーの ID を検証するために使用されます。

AWS ParallelCluster は、ノードへの証明書の初期配置には責任を負いません。クラスター管理者として、クラスターの作成後にヘッドノードの証明書を手動で設定することも、ブートストラップスクリプトを使用することもできます。または、ヘッドノードに設定された証明書を含む Amazon マシンイメージ (AMI) を使用することもできます。

Simple AD はLDAPSサポートしていません。Simple AD ディレクトリを と統合する方法については AWS ParallelCluster、AWS セキュリティブログ「Simple AD のLDAPSエンドポイントを設定する方法」を参照してください。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapTlsReqCert (オプションString)

TLS セッションでサーバー証明書に対して実行するチェックを指定します。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_tls_reqcert

有効な値: neverallowtrydemand、および hard

neverallow、および try は、証明書の問題が見つかった場合でも接続を続行できるようにします。

demand および hard は、証明書に問題がない場合でも通信を継続できるようにします。

クラスター管理者が証明書の検証の成功を必要としない値を使用した場合、警告メッセージが管理者に返されます。セキュリティ上の理由から、証明書の検証を無効にしないことをお勧めします。

デフォルト値は hard です。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapAccessFilter (オプションString)

ディレクトリアクセスを一部のユーザーに制限するフィルターを指定します。このプロパティは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_access_filter。これを使用して、多数のユーザーをサポートする AD へのクエリに制限できます。

このフィルターは、クラスターへのユーザーアクセスをブロックできます。ただし、ブロックされたユーザーの検出性には影響しません。

このプロパティが設定されている場合、 SSSDパラメータaccess_providerは によってldap AWS ParallelCluster 内部的に に設定され、/ DirectoryService AdditionalSssdConfigs設定によって変更することはできません。

このプロパティを省略し、カスタマイズされたユーザーアクセスを DirectoryService/AdditionalSssdConfigs で指定していない場合、ディレクトリ内のすべてのユーザーがクラスターにアクセスできます。

例:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

GenerateSshKeysForUsers (オプションBoolean)

が、ヘッドノードでの最初の認証の直後にクラスターユーザーのSSHキー AWS ParallelCluster を生成するかどうかを定義します。

に設定するとtrue、キーはSSH生成されUSER_HOME_DIRECTORY/.ssh/id_rsa、ヘッドノードでの最初の認証後にすべてのユーザーに対して に保存されます。

ヘッドノードでまだ認証されていないユーザーの場合、次のような場合に初回認証が行われます。

  • ユーザーが自身のパスワードで初めてヘッドノードにログインします。

  • ヘッドノードで、sudoer が初めてそのユーザーに切り替えます。su USERNAME

  • ヘッドノードで、sudoer が初めてそのユーザーとしてコマンドを実行します。su -u USERNAME COMMAND

ユーザーは、 SSHキーを使用して、クラスターヘッドノードとコンピューティングノードへの後続のログインを行うことができます。では AWS ParallelCluster、クラスターコンピューティングノードへのパスワードログインは設計上無効になっています。ユーザーがヘッドノードにログインしていない場合、SSHキーは生成されず、ユーザーはコンピューティングノードにログインできなくなります。

デフォルト: true

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

AdditionalSssdConfigs (オプションDict)

クラスターインスタンスの設定SSSDファイルに書き込むSSSDパラメータと値を含むキーと値のペアのディクト。SSSD 設定ファイルの詳細については、 SSSDおよび関連する設定ファイルのインスタンス管理ページを参照してください。

SSSD パラメータと値は、次のリストで説明されているように、 AWS ParallelCluster SSSDの設定と互換性がある必要があります。

  • id_provider は によってldap内部的に に設定 AWS ParallelCluster されており、変更しないでください。

  • access_provider は、/ DirectoryService LdapAccessFilterが指定され AWS ParallelCluster ると によってldap内部的に に設定され、この設定は変更しないでください。

    DirectoryService/LdapAccessFilter を省略すると、その access_provider の指定も省略されます。例えば、AdditionalSssdConfigsaccess_providersimple に設定した場合、DirectoryService/LdapAccessFilter は指定しないでください。

次の設定スニペットは、AdditionalSssdConfigs の有効な設定の例です。

この例では、SSSDログのデバッグレベルを有効にし、検索ベースを特定の組織単位に制限し、認証情報のキャッシュを無効にします。

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

この例では、 SSSD simple の設定を指定しますaccess_providerEngineeringTeam からのユーザーにはディレクトリへのアクセス許可が与えられます。この場合、DirectoryService/LdapAccessFilter は設定できません。

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。